Rollen en vereisten voor Azure Data Share
In dit artikel worden rollen en machtigingen beschreven die zijn vereist voor het delen en ontvangen van gegevens met behulp van de Azure Data Share-service.
Rollen en vereisten
Met de Azure Data Share-service kunt u gegevens delen zonder referenties uit te wisselen tussen de gegevensprovider en de consument. Voor delen op basis van momentopnamen maakt De Azure Data Share-service gebruik van beheerde identiteiten (voorheen msis genoemd) om te verifiëren bij azure-gegevensopslag.
Als u shares wilt maken in een Azure Data-share, heeft een gebruiker de volgende machtigingen nodig:
- Machtigingen voor datashare-accounts: Inzender
- Opslagresourcegroep: Lezer (leesmachtigingen voor de resourcegroep waarin uw opslagaccounts of databases zich bevinden, is u gemachtigd om ernaar te bladeren in de portal.)
- Bronmachtigingen, afhankelijk van de bron:
Opslag en data lake delen
Gegevensarchieftype | Actie | Rol in brongegevensarchief | Rol in doelgegevensarchief | Notitie |
---|---|---|---|---|
Azure Blob-opslag | Gegevens delen | Inzender voor opslagaccount** | **In plaats daarvan kunt u een aangepaste rol maken met de benodigde opslagacties | |
Gegevens ontvangen | Inzender voor opslagaccount** | **In plaats daarvan kunt u een aangepaste rol maken met de benodigde opslagacties | ||
MI-machtigingen automatisch toewijzen om te delen | Een rol met Microsoft.Authorization/roltoewijzingen/schrijven* | Optioneel. In plaats daarvan kunt u de MI-machtigingen handmatig toewijzen. | ||
MI-machtigingen automatisch toewijzen om te ontvangen | Een rol met Microsoft.Authorization/roltoewijzingen/schrijven* | Optioneel. In plaats daarvan kunt u de MI-machtigingen handmatig toewijzen. | ||
Azure Data Lake Gen 1 | Gegevens delen | Toegang tot en schrijfmachtigingen voor de bestanden die u wilt delen. | ||
Gegevens ontvangen | Niet ondersteund | |||
MI-machtigingen automatisch toewijzen om te delen | Een rol met Microsoft.Authorization/roltoewijzingen/schrijven* | Optioneel. In plaats daarvan kunt u de MI-machtigingen handmatig toewijzen. | ||
MI-machtigingen automatisch toewijzen om te ontvangen | Wordt niet ondersteund. | |||
Azure Data Lake Gen 2 | Gegevens delen | Inzender voor opslagaccount** | **In plaats daarvan kunt u een aangepaste rol maken met de benodigde opslagacties | |
Gegevens ontvangen | Inzender voor opslagaccount** | **In plaats daarvan kunt u een aangepaste rol maken met de benodigde opslagacties | ||
MI-machtigingen automatisch toewijzen om te delen | Een rol met Microsoft.Authorization/roltoewijzingen/schrijven* | Optioneel. In plaats daarvan kunt u de MI-machtigingen handmatig toewijzen. | ||
MI-machtigingen automatisch toewijzen om te ontvangen | Een rol met Microsoft.Authorization/roltoewijzingen/schrijven* | Optioneel. In plaats daarvan kunt u de MI-machtigingen handmatig toewijzen. |
* Deze machtiging bestaat in de rol Eigenaar .
Zie het artikel voor het delen van en naar Azure Storage voor meer informatie over het delen en ontvangen van gegevens van Azure Blob Storage en Azure Data Lake Storage.
SQL-database delen
Als u gegevens uit SQL wilt delen, kunt u het volgende gebruiken:
Als u gegevens in SQL wilt ontvangen, moet u machtigingen toewijzen om gegevens te ontvangen.
Microsoft Entra-verificatie om te delen
Deze vereisten hebben betrekking op de verificatie die u nodig hebt, zodat Azure Data Share verbinding kan maken met uw Azure SQL Database:
- U hebt toestemming nodig om naar de databases op SQL Server te schrijven: Microsoft.Sql/servers/databases/write. Deze machtiging maakt onderdeel uit van de rol Inzender.
- Sql Server Microsoft Entra-beheerdersmachtigingen .
- Toegang tot SQL Server Firewall:
- Navigeer in Azure Portal naar uw SQL-server. Selecteer Firewalls en virtuele netwerken in de linkernavigatiebalk.
- Selecteer Ja als u Azure-services en -resources toegang wilt geven tot deze server.
- Selecteer +CLIENT-IP toevoegen. Het IP-adres van de client kan worden gewijzigd, dus mogelijk moet u uw client-IP opnieuw toevoegen wanneer u gegevens deelt vanuit de portal.
- Selecteer Opslaan.
SQL-verificatie die moet worden gedeeld
U kunt de stapsgewijze demovideo volgen om verificatie te configureren of om elk van deze vereisten te voltooien:
Machtiging voor schrijven naar de databases op SQL Server: Microsoft.Sql/servers/databases/write. Deze machtiging maakt onderdeel uit van de rol Inzender.
Machtiging voor de beheerde identiteit van de Azure Data Share-resource voor toegang tot de database:
Navigeer in Azure Portal naar de SQL-server en stel uzelf in als Microsoft Entra-beheerder.
Maak verbinding met de Azure SQL Database/Data Warehouse met behulp van de Power Query-editor of SQL Server Management Studio met Microsoft Entra-verificatie.
Voer het volgende script uit om de door de Data Share-resource beheerde identiteit toe te voegen als een db_datareader. Verbinding maken met Active Directory en niet met SQL Server-verificatie.
create user "<share_acct_name>" from external provider; exec sp_addrolemember db_datareader, "<share_acct_name>";
Notitie
De <share_acc_name> is de naam van uw Data Share-resource.
Een Azure SQL Database-gebruiker met 'db_datareader' -toegang om te navigeren en de tabellen of weergaven te selecteren die u wilt delen.
Toegang tot SQL Server Firewall:
- Navigeer in Azure Portal naar DE SQL-server. Selecteer Firewalls en virtuele netwerken in de linkernavigatiebalk.
- Selecteer Ja als u Azure-services en -resources toegang wilt geven tot deze server.
- Selecteer +CLIENT-IP toevoegen. Het IP-adres van de client kan worden gewijzigd, dus mogelijk moet u uw client-IP opnieuw toevoegen wanneer u gegevens deelt vanuit de portal.
- Selecteer Opslaan.
Verificatie die moet worden ontvangen in SQL
Voor een SQL-server waar u de Microsoft Entra-beheerder van de SQL-server bent, moet u deze vereisten voltooien voordat u een gegevensshare accepteert:
- Een Azure SQL Database of Azure Synapse Analytics (voorheen Azure SQL DW).
- Machtiging voor schrijven naar de databases op SQL Server: Microsoft.Sql/servers/databases/write. Deze machtiging maakt onderdeel uit van de rol Inzender.
- Toegang tot SQL Server Firewall:
- Navigeer in Azure Portal naar uw SQL-server. Selecteer Firewalls en virtuele netwerken in de linkernavigatiebalk.
- Selecteer Ja als u Azure-services en -resources toegang wilt geven tot deze server.
- Selecteer +CLIENT-IP toevoegen. Het IP-adres van de client kan worden gewijzigd, dus mogelijk moet u uw client-IP opnieuw toevoegen wanneer u gegevens deelt vanuit de portal.
- Selecteer Opslaan.
Voor een SQL-server waar u niet de Microsoft Entra-beheerder bent, moet u deze vereisten voltooien voordat u een gegevensshare accepteert:
U kunt de stapsgewijze demovideo of de onderstaande stappen volgen om vereisten te configureren.
Een Azure SQL Database of Azure Synapse Analytics (voorheen Azure SQL DW).
Machtiging voor het schrijven naar databases op de SQL-server: Microsoft.Sql/servers/databases/write. Deze machtiging maakt onderdeel uit van de rol Inzender.
Machtiging voor de beheerde identiteit van de Data Share-resource voor toegang tot de Azure SQL Database of Azure Synapse Analytics:
Navigeer in Azure Portal naar de SQL-server en stel uzelf in als Microsoft Entra-beheerder.
Maak verbinding met de Azure SQL Database/Data Warehouse met behulp van de Power Query-editor of SQL Server Management Studio met Microsoft Entra-verificatie.
Voer het volgende script uit om de beheerde Data Share-identiteit toe te voegen als db_datareader, db_datawriter, db_ddladmin.
create user "<share_acc_name>" from external provider; exec sp_addrolemember db_datareader, "<share_acc_name>"; exec sp_addrolemember db_datawriter, "<share_acc_name>"; exec sp_addrolemember db_ddladmin, "<share_acc_name>";
Notitie
De <share_acc_name> is de naam van uw Data Share-resource.
Toegang tot SQL Server Firewall:
- Navigeer in Azure Portal naar de SQL-server en selecteer Firewalls en virtuele netwerken.
- Selecteer Ja als u Azure-services en -resources toegang wilt geven tot deze server.
- Selecteer +CLIENT-IP toevoegen. Het IP-adres van de client kan worden gewijzigd, dus mogelijk moet u uw client-IP opnieuw toevoegen wanneer u gegevens deelt vanuit de portal.
- Selecteer Opslaan.
Zie het artikel voor het delen van en naar Azure SQL voor meer informatie over het delen en ontvangen van gegevens van Azure SQL Database.
Azure Synapse Analytics delen
Delen
Machtiging voor schrijven naar de SQL-pool in synapse-werkruimte: Microsoft.Synapse/workspaces/sqlPools/write. Deze machtiging maakt onderdeel uit van de rol Inzender.
Machtiging voor de beheerde identiteit van de Data Share-resource voor toegang tot de SQL-pool van de Synapse-werkruimte:
Navigeer in Azure Portal naar uw Synapse-werkruimte. Selecteer SQL Active Directory-beheerder in het linkernavigatievenster en stel uzelf in als Microsoft Entra-beheerder.
Open Synapse Studio en selecteer Beheren in het linkernavigatievenster. Selecteer Toegangsbeheer onder Beveiliging. Wijs uzelf de rol SQL-beheerder of werkruimtebeheerder toe.
Selecteer Ontwikkelen in de linkernavigatiebalk in Synapse Studio. Voer het volgende script uit in de SQL-pool om de door de Data Share-resource beheerde identiteit toe te voegen als een db_datareader.
create user "<share_acct_name>" from external provider; exec sp_addrolemember db_datareader, "<share_acct_name>";
Notitie
De <share_acc_name> is de naam van uw Data Share-resource.
Firewalltoegang voor Synapse-werkruimte:
- Navigeer in Azure Portal naar de Synapse-werkruimte. Selecteer Firewalls in de linkernavigatiebalk.
- Selecteer AAN om Azure-services en -resources toegang te geven tot deze werkruimte.
- Selecteer +CLIENT-IP toevoegen. Het IP-adres van de client kan worden gewijzigd, dus mogelijk moet u uw client-IP opnieuw toevoegen wanneer u gegevens deelt vanuit de portal.
- Selecteer Opslaan.
Ontvangen
Een toegewezen SQL-pool in de Synapse Analytics-werkruimte. Het ontvangen van gegevens in een serverloze SQL-pool wordt momenteel niet ondersteund.
Machtiging voor schrijven naar de SQL-pool in synapse-werkruimte: Microsoft.Synapse/workspaces/sqlPools/write. Deze machtiging maakt onderdeel uit van de rol Inzender.
Machtiging voor de beheerde identiteit van de Data Share-resource voor toegang tot de SQL-pool van de Synapse-werkruimte:
Navigeer in Azure Portal naar de Synapse-werkruimte.
Selecteer SQL Active Directory-beheerder in het linkernavigatievenster en stel uzelf in als Microsoft Entra-beheerder.
Open Synapse Studio, selecteer Beheren in de linkernavigatiebalk. Selecteer Toegangsbeheer onder Beveiliging. Wijs uzelf de rol SQL-beheerder of werkruimtebeheerder toe.
Selecteer in Synapse Studio de optie Beheren in de linkernavigatiebalk. Voer het volgende script uit in de SQL-pool om de door de Data Share-resource beheerde identiteit toe te voegen als een 'db_datareader, db_datawriter, db_ddladmin'.
create user "<share_acc_name>" from external provider; exec sp_addrolemember db_datareader, "<share_acc_name>"; exec sp_addrolemember db_datawriter, "<share_acc_name>"; exec sp_addrolemember db_ddladmin, "<share_acc_name>";
Notitie
De <share_acc_name> is de naam van uw Data Share-resource.
Firewalltoegang voor Synapse-werkruimte:
- Navigeer in Azure Portal naar de Synapse-werkruimte. Selecteer Firewalls in de linkernavigatiebalk.
- Selecteer AAN om Azure-services en -resources toegang te geven tot deze werkruimte.
- Selecteer +CLIENT-IP toevoegen. Het IP-adres van de client kan worden gewijzigd. Dit proces moet mogelijk worden herhaald wanneer u de volgende keer SQL-gegevens deelt vanuit De Azure-portal.
- Selecteer Opslaan.
Zie het artikel voor het delen van en naar Azure Synapse Analytics voor meer informatie over het delen en ontvangen van gegevens van Azure Synapse Analytics.
MI-machtigingen handmatig toewijzen
Als een gebruiker microsoft.Authorization/roltoewijzingen/schrijfmachtigingen heeft voor een bron- of doelgegevensarchief, wordt automatisch de beheerde identiteit van Azure Data Share toegewezen aan de machtigingen die nodig zijn voor verificatie bij het gegevensarchief. U kunt ook handmatig machtigingen voor beheerde identiteiten toewijzen.
Als u ervoor kiest om handmatig machtigingen toe te wijzen, wijst u deze machtigingen toe aan de beheerde identiteit van uw Azure Data Share-resource op basis van de bron en actie:
Gegevensarchieftype | Gegevensproviderbrongegevensarchief | Gegevensverbruikersdoelgegevensarchief |
---|---|---|
Azure Blob-opslag | Lezer voor opslagblobgegevens | Inzender van opslag-blobgegevens |
Azure Data Lake Gen1 | Eigenaar | Niet ondersteund |
Azure Data Lake Gen2 | Lezer voor opslagblobgegevens | Inzender van opslag-blobgegevens |
Azure SQL-database | db_datareader | db_datareader, db_datawriter, db_ddladmin |
Azure Synapse Analytics | db_datareader | db_datareader, db_datawriter, db_ddladmin |
Voorbeeld van gegevensprovider
Wanneer u gegevens deelt vanuit een opslagaccount, krijgt de beheerde identiteit van de gegevensshareresource de rol Opslagblobgegevenslezer .
Dit wordt automatisch gedaan door de Azure Data Share-service wanneer de gebruiker een gegevensset toevoegt via Azure Portal en de gebruiker eigenaar is van het Azure-gegevensarchief of lid is van een aangepaste rol waaraan de machtiging Microsoft.Authorization/role assignments/write is toegewezen.
De gebruiker kan ook de eigenaar van het Azure-gegevensarchief de beheerde identiteit van de gegevensshareresource handmatig toevoegen aan het Azure-gegevensarchief. Deze actie hoeft slechts eenmaal per gegevensshareresource te worden uitgevoerd.
Als u handmatig een roltoewijzing wilt maken voor de beheerde identiteit van de gegevensshareresource, gebruikt u de volgende stappen:
Navigeer naar het Azure-gegevensarchief.
Klik op Toegangsbeheer (IAM) .
Selecteer Roltoewijzing toevoegen.>
Selecteer op het tabblad Rol een van de rollen die worden vermeld in de tabel roltoewijzing in de vorige sectie.
Selecteer op het tabblad Leden, Beheerde identiteit en selecteer vervolgens Leden selecteren.
Selecteer uw Azure-abonnement.
Selecteer Door het systeem toegewezen beheerde identiteit, zoek naar uw Azure Data Share-resource en selecteer deze.
Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.
Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over roltoewijzingen. Als u gegevens deelt met BEHULP van REST API's, kunt u een roltoewijzing maken met behulp van de API door te verwijzen naar Azure-rollen toewijzen met behulp van de REST API.
Voor delen op basis van SQL-momentopnamen moet een SQL-gebruiker worden gemaakt van een externe provider in SQL Database met dezelfde naam als de Azure Data Share-resource tijdens het maken van verbinding met sql-database met behulp van Microsoft Entra-verificatie. Aan deze gebruiker moet db_datareader machtiging worden verleend. Een voorbeeldscript samen met andere vereisten voor delen op basis van SQL vindt u in de zelfstudie Share van Azure SQL Database of Azure Synapse Analytics .
Voorbeeld van gegevensconsumer
Als u gegevens wilt ontvangen in het opslagaccount, moet de beheerde identiteit van de resource voor consumentengegevensshares toegang krijgen tot het doelopslagaccount. De beheerde identiteit van de gegevensshareresource moet de rol Inzender voor opslagblobgegevens krijgen. Dit wordt automatisch gedaan door de Azure Data Share-service als de gebruiker een doelopslagaccount opgeeft via Azure Portal en de gebruiker over de juiste machtigingen beschikt. De gebruiker is bijvoorbeeld een eigenaar van het opslagaccount of lid is van een aangepaste rol waaraan de machtiging Microsoft.Authorization/role assignments/write is toegewezen.
De gebruiker kan ook de eigenaar van het opslagaccount de beheerde identiteit van de gegevensshareresource handmatig toevoegen aan het opslagaccount. Deze actie hoeft slechts eenmaal per gegevensshareresource te worden uitgevoerd. Als u handmatig een roltoewijzing wilt maken voor de beheerde identiteit van de gegevensshareresource, volgt u de onderstaande stappen.
Navigeer naar het Azure-gegevensarchief.
Klik op Toegangsbeheer (IAM) .
Selecteer Roltoewijzing toevoegen.>
Selecteer op het tabblad Rol een van de rollen die worden vermeld in de tabel roltoewijzing in de vorige sectie. Voor een opslagaccount selecteert u bijvoorbeeld Storage Blob Data Reader.
Selecteer op het tabblad Leden, Beheerde identiteit en selecteer vervolgens Leden selecteren.
Selecteer uw Azure-abonnement.
Selecteer Door het systeem toegewezen beheerde identiteit, zoek naar uw Azure Data Share-resource en selecteer deze.
Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.
Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over roltoewijzingen. Als u gegevens ontvangt met behulp van REST API's, kunt u roltoewijzing maken met behulp van API door te verwijzen naar Azure-rollen toewijzen met behulp van de REST API.
Voor sql-doel moet een SQL-gebruiker worden gemaakt op basis van een externe provider in SQL Database met dezelfde naam als de Azure Data Share-resource tijdens het maken van verbinding met sql-database met behulp van Microsoft Entra-verificatie. Aan deze gebruiker moet db_datareader, db_datawriter, db_ddladmin machtiging worden verleend. Een voorbeeldscript samen met andere vereisten voor delen op basis van SQL vindt u in de zelfstudie Share van Azure SQL Database of Azure Synapse Analytics .
Registratie van resourceprovider
Mogelijk moet u de Microsoft.DataShare-resourceprovider in de volgende scenario's handmatig registreren bij uw Azure-abonnement:
- Azure Data Share-uitnodiging voor de eerste keer weergeven in uw Azure-tenant
- Gegevens delen vanuit een Azure-gegevensarchief in een ander Azure-abonnement vanuit uw Azure Data Share-resource
- Gegevens ontvangen in een Azure-gegevensarchief in een ander Azure-abonnement van uw Azure Data Share-resource
Volg deze stappen om de Microsoft.DataShare-resourceprovider te registreren bij uw Azure-abonnement. U hebt inzendertoegang tot het Azure-abonnement nodig om de resourceprovider te registreren.
- Navigeer in Azure Portal naar Abonnementen.
- Selecteer het abonnement dat u gebruikt voor Azure Data Share.
- Selecteer resourceproviders.
- Zoek naar Microsoft.DataShare.
- Selecteer Registreren.
Raadpleeg Azure-resourceproviders en -typen voor meer informatie over resourceproviders.
Aangepaste rollen voor Gegevensshare
In deze sectie worden aangepaste rollen en machtigingen beschreven die vereist zijn binnen de aangepaste rollen voor het delen en ontvangen van gegevens, specifiek voor een opslagaccount. Er zijn ook vereisten die onafhankelijk zijn van een aangepaste rol of Azure Data Share-rol.
Vereisten voor Data Share, naast aangepaste rol
- Als u een gegevensset wilt toevoegen in Azure Data Share, moet de beheerde identiteit van de providergegevensshareresource toegang krijgen tot het azure-gegevensarchief van de bron voor het delen van momentopnamen. Als u bijvoorbeeld een opslagaccount gebruikt, krijgt de beheerde identiteit van de gegevensshareresource de rol Opslagblobgegevenslezer.
- Als u gegevens in een opslagaccount wilt ontvangen, moet de beheerde identiteit van de resource voor consumentengegevensshares toegang krijgen tot het doelopslagaccount. De beheerde identiteit van de gegevensshareresource moet de rol Inzender voor opslagblobgegevens krijgen.
- Mogelijk moet u de Resourceprovider Microsoft.DataShare ook handmatig registreren bij uw Azure-abonnement voor sommige scenario's. Zie de sectie Registratie van resourceproviders van dit artikel voor specifieke informatie.
Aangepaste rollen en vereiste machtigingen maken
Aangepaste rollen kunnen worden gemaakt in een abonnement of resourcegroep voor het delen en ontvangen van gegevens. Gebruikers en groepen kunnen vervolgens de aangepaste rol toewijzen.
- Voor het maken van een aangepaste rol zijn er acties vereist voor opslag, gegevensshare, resourcegroep en autorisatie. Zie het bewerkingsdocument van de Azure-resourceprovider voor Data Share om inzicht te hebben in de verschillende machtigingsniveaus en de machtigingen te kiezen die relevant zijn voor uw aangepaste rol.
- U kunt ook de Azure-portal gebruiken om naar IAM, aangepaste rol, machtigingen toevoegen, zoeken naar Microsoft.DataShare-machtigingen te zoeken om de lijst met beschikbare acties weer te geven.
- Raadpleeg aangepaste Azure-rollen voor meer informatie over aangepaste roltoewijzingen. Zodra u uw aangepaste rol hebt, test u deze om te controleren of deze werkt zoals verwacht.
Hieronder ziet u een voorbeeld van hoe de vereiste acties worden weergegeven in de JSON-weergave voor een aangepaste rol voor het delen en ontvangen van gegevens.
{
"Actions": [
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.DataShare/accounts/read",
"Microsoft.DataShare/accounts/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.DataShare/accounts/shares/listSynchronizations/action",
"Microsoft.DataShare/accounts/shares/synchronizationSettings/read",
"Microsoft.DataShare/accounts/shares/synchronizationSettings/write",
"Microsoft.DataShare/accounts/shares/synchronizationSettings/delete",
"Microsoft.DataShare/accounts/shareSubscriptions/*",
"Microsoft.DataShare/listInvitations/read",
"Microsoft.DataShare/locations/rejectInvitation/action",
"Microsoft.DataShare/locations/consumerInvitations/read",
"Microsoft.DataShare/locations/operationResults/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourcegroups/resources/read",
"Microsoft.Authorization/roleAssignments/read",
]
}
Volgende stappen
- Meer informatie over rollen in Azure - Meer informatie over Azure-roldefinities